Web3・仮想通貨ウォレットのセキュリティ対策：ハッキングから資産を守る方法

Web3の世界では「Not your keys, not your coins（秘密鍵を持たぬ者は、コインの真の所有者ではない）」という格言があります。MetaMask（メタマスク）やBinance Web3ウォレットなどの「ノンカストディアル・ウォレット」を使用する場合、資産の管理責任は100%あなた自身にあります。

もしハッキングされたり、パスワードを忘れたりしても、銀行や取引所のカスタマーサポートが助けてくれることは絶対にありません。資産を守るための鉄則を学びましょう。

1. 絶対の掟：シードフレーズ（リカバリーフレーズ）の厳重管理

12個または24個の英単語からなる「シードフレーズ」は、あなたの金庫のマスターキーです。これを知っていれば、世界中の誰でも、どのデバイスからでもあなたの資産を全て引き出すことができます。

• 絶対にデジタル保存しない： スマホのメモ帳、Evernote、Googleドライブ、写真（スクショ）、メールの下書きなどに保存してはいけません。クラウドがハッキングされた瞬間、資産は消えます。
• 紙に書いて物理的に保管する： ボールペンで紙に書き写し、耐火金庫や鍵のかかる引き出しなど、安全な場所に保管してください。
• 誰にも教えない： 「サポートデスク」や「プロジェクトの運営」を名乗る人物がシードフレーズを求めてきても、100%詐欺です。

2. フィッシング詐欺（偽サイト）への警戒

ハッカーは、本物そっくりの偽サイト（DAppsや取引所）を作り、あなたにウォレットを接続させようとします。

• Google検索の「スポンサー（広告）」枠に偽サイトが表示されることが多々あります。URLが正しいか（例：1文字だけ違うドメインではないか）必ず確認してください。
• X（旧Twitter）やDiscordのDM（ダイレクトメッセージ）で送られてくる「無料エアドロップ」や「限定NFTミント」のリンクは絶対にクリックしないでください。
• よく使うサイトはブラウザのブックマークに登録し、そこからのみアクセスするようにしましょう。

3. スマートコントラクトの「Approve（承認）」リスク

PancakeSwapなどの分散型取引所（DEX）を利用する際、ウォレット内のトークンを移動させる権限（Approve）をスマートコントラクトに与える必要があります。

• 信頼できる有名なDAppsのみを利用してください。
• 無制限（Unlimited）の承認を与えず、取引する金額のみを承認する設定を推奨します。
• 定期的に「Revoke.cash」や「BscScanのToken Approvals」などのツールを使用し、使っていないDAppsへの承認を取り消し（Revoke）てください。

4. 多額の資産はコールドウォレットへ

インターネットに常時接続されているウォレット（ホットウォレット）は、常にマルウェアやハッキングのリスクに晒されています。

長期保有（ガチホ）する多額の資産は、LedgerやTrezorなどのハードウェアウォレット（コールドウォレット）に保管することを強くお勧めします。これらは物理的なデバイスのボタンを押さない限り送金が実行されないため、遠隔からのハッキングを物理的に防ぐことができます。